[caiu] Operadoras Sobre Ataque

Diego Canton de Brito diegocanton em ensite.com.br
Quinta Setembro 24 01:29:01 BRT 2015 

 

Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não
houve um ataque que atinga o volume configurado, mas é uma ideia que
deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se não me
engano ele identifica e age em alguns segundos. Antes utilizavamos nfsen
para processar os dados de Flows, mas era lento, tentamos programar
scripts para reduzir o tempo, mas no fim o FastNetMon se mostrou muito
eficiente nos testes. 

Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que o
discard para SRR, não tenho certeza, fica no roteador de SRR ou RPO, ou
seja não é propagado, logo um ataque maior que o transporte gera redução
de trafego. Os últimos ataques que recebemos sempre ultrapassaram
2.5Gbps, geralmente UDP Flood, amplificações DNS e NTP. Caso eu esteja
certo, seria interessante se os IPs anunciados em BH fossem replicados
para outros roteadores até chegar nas Bordas de transito da Algar para
serem mitigados antes de comprometer a rede como um todo. 

Bom fica a dica para vocês https://github.com/FastVPSEestiOu/fastnetmon
e http://nfsen.sourceforge.net/ e https://github.com/sleinen/samplicator


---

Att.

-------------------------

DIEGO CANTON DE BRITO
Suporte Técnico - Rede, link dedicado e servidores
ENSITE 
TELECOM
suporte em ensite.com.br
diegocanton em ensite.com.br
+55 18 3638 1001 - Suporte Técnico
+55 18 3638 1001 - Link Dedicado
+55 18 3638 1003 - Telefonia
0800 772 9147

Em 2015-09-24 01:08, André Andrade escreveu: 

> To contigo nessa Caio.
> 
> Se cada um fizer sua parte e de maneira rápida, seria muito melhor para todos nós.
> 
> Abraço.
> 
> Enviado do meu iPhone
> Em 24/09/2015, às 00:26, Caio <caiot5 em gmail.com> escreveu: Já passei por situações idênticas (fazer blackhole e a propagacao demorar, quase como se fosse manual) e realmente as "mágicas" não funcionaram nunca kkk Atualmente estamos notando redução de desempenho em diversos circuitos que passam em Rio Preto devido aos ataques que vocês estão sofrendo desde o dia 20. Na minha opinião falta proatividade dentro da Algar, alguém com o foco no negócio, com interesse em resolver rápido o problema do cliente e responder aos questionamentos com clareza e sem lenga lenga de "não foram encontrados problemas". On Wednesday, September 23, 2015, André Andrade <andre em n4telecom.com.br> wrote: De qualquer forma foi resolvido sim... Desde de o dia 20 venho notando esse problema na rede Algar pós blackhole. Em 23 de setembro de 2015 23:39, CTBC Telecom <algartelecom em gmail.com <javascript:;>> escreveu: Algumas "mágicas" não funcionaram de maneira automática :) 2015-09-23 23:37
GMT-03:00 André Andrade <andre em n4telecom.com.br <javascript:;>>: Percebi que essa queda no rendimento acontece depois que envio o IP atacado que foi dentro da minha rede para a Black-hole da Algar. Esse IP publicado na Black-hole não deveria ser repassado
 automaticamente 

>> para as blackhole da redes subsequentes??? Porque demora cerca de 20min para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom <algartelecom em gmail.com
 <javascript:;>> 

> escreveu: Se for interior de São Paulo, era ataque em direção a um cliente que
 já 

> foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <algartelecom em gmail.com
 <javascript:;>>: 

> Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <andre em n4telecom.com.br
 <javascript:;>>: 

> Alguem mais com problema de queda de rendimento no link ALGAR??? Acabei de enviar para blackhole um ip que estava recebendo ataque
 e 

> logo depois a Algar caiu o rendimento para 30% do total. -- André Andrade www.n4telecom.com.br [1] _______________________________________________ caiu mailing list caiu em eng.registro.br <javascript:;> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: https://eng.registro.br/mailman/options/caiu [3]
 _______________________________________________ caiu mailing list
caiu em eng.registro.br <javascript:;>
https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA LISTA
SIGA AS INSTRUÇÕES em: https://eng.registro.br/mailman/options/caiu [3]
-- André Andrade www.n4telecom.com.br [1]
_______________________________________________ caiu mailing list
caiu em eng.registro.br <javascript:;>
https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA LISTA
SIGA AS INSTRUÇÕES em: https://eng.registro.br/mailman/options/caiu [3]
_______________________________________________ caiu mailing list
caiu em eng.registro.br <javascript:;>
https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA LISTA
SIGA AS INSTRUÇÕES em: https://eng.registro.br/mailman/options/caiu [3]
-- André Andrade www.n4telecom.com.br [1]
_______________________________________________ caiu mailing list
caiu em eng.registro.br <javascript:;>
https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA LISTA
SIGA AS INSTRUÇÕES em: https://eng.registro.br/mailman/options/caiu [3]
_______________________________________________ caiu mailing list
caiu em eng.registro.br https://eng.registro.br/mailman/listinfo/caiu [2]
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu [3] 

_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu [2]

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu [3]

 

Links:
------
[1] http://www.n4telecom.com.br
[2] https://eng.registro.br/mailman/listinfo/caiu
[3] https://eng.registro.br/mailman/options/caiu

Mais detalhes sobre a lista de discussão caiu